PIN-Abfrage von Visa-Kreditkarten lässt sich umgehen
Quelle: Visa

PIN-Abfrage von Visa-Kreditkarten lässt sich umgehen

Sicherheitsforscher der ETH Zürich haben einen Weg gefunden, um die PIN-Abfrage bei der Bezahlung mit einer Visa-Kreditkarte zu umgehen.
31. August 2020

     

Wie die drei Forscher David Basin, Ralf Sasse und Jorge Toro der ETH Zürich in einem Beitrag auf Github erklären, sei schon länger bekannt, dass das EMV-Protokoll, benannt nach den drei Gründungsmitgliedern Europay, Mastercard und Visa, verschiedene Lücken aufweise. Der Standard wird heute weltweit in über neun Milliarden Kredit- und Debitkarten verwendet.

Die neue, von den ETH-Forschern gefundene Lücke, ist besonders schwerwiegend, weil sie es erlaubt, die PIN-Abfrage bei der Bezahlung mit einer Visa-Karte zu umgehen. Dadurch könnten Unbefugte mit einer solchen Kreditkarte Zahlungen tätigen, die über dem heute in der Schweiz geltenden Grenzwert von 80 Franken liegen, ohne einen PIN zu benötigen. Um den Angriff durchführen zu können, müssen die Kriminellen Zugang zur betreffenden Karte haben, entweder, indem sie diese stehlen oder finden, oder indem sie ein NFC-fähiges Smartphone in deren Nähe halten. Lediglich zwei Smartphones und eine App werden dann von den Angreifern eingesetzt. Eines der Geräte verbindet sich via NFC mit der Kreditkarte, das andere ebenfalls via NFC mit dem Zahlterminal. Untereinander kommunizieren die Smartphones via WiFi. Die App benötigt dabei auf Android weder Root-Rechte noch Hacks, wie die Forscher betonen. Damit konnten sie Angriffe mit Pixel- und Huawei-Smartphones erfolgreich durchführen.


Alle Details zum Angriff finden sich auf der Github-Seite des Projektes. In einem Video demonstrieren die ETH-Forscher ausserdem, wie eine solche Attacke funktioniert. (luc)



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER